autorun.inf – Autostart von USB-Sticks und CD/DVD

Wechseldatenträger können bei Windows eine Datei namens autorun.inf enthalten. Diese ist selbst nicht ausführbar, es handelt sich um eine reine Textdatei. Doch ihr Inhalt verweist auf ausführbare Inhalte. Eine einfache Version sieht so aus:

[AutoRun]
open=Pfadname\Programmname.exe
icon=Iconname.ico

Das war’s auch schon. Bei einer Heftl-CD zum Beispiel startet so zum Beispiel der Heft-CD-Browser. Sieht so aus:

autorun.inf

autorun.inf

  • [autorun] legt fest, dass hier die Autorun-Angaben stehen – die Datei autorun.inf kann nämlich noch mehr, was hier aber nicht wichtig ist
  • open legt fest, welches Programm Windows automatisch starten soll
  • icon legt fest, welches Icon der Wechseldatenträger haben soll, die ICO-Datei ist eine ganz normale Grafikdatei im ICO-Format

Infektion durch autorun.inf

Das gefährliche daran ist nun, dass Würmer dies nutzen können, um Wechseldatenträger es als zusätzlichen Verbreitungsweg zu nutzen.

Das geht beispielsweise so: Sie sind Student / Businessmensch und haben einen USB-Stick. Sie gehen an die Uni / auf eine Messe und nutzen einen Campus/Messe-Rechner. Der ist infiziert, und in dem Augenblick des Einsteckens schreibt der Wurm sich auf den USB-Stick und erzeugt eine autorun.inf mit sich selbst als Aufruf. Sie nehmen den Stick mit nach Hause / ins Büro, stecken ihn dort ein. Windows führt schafsbrav die Inhalte in autorun.inf aus und infiziert sich… Und so weiter. Note: Traditionelle Firewalls sind machtlos.

Das geht ging* mit

  • USB-Sticks, USB-Festplatten*
  • CDs/DVDs, auch ISO-Dateien davon, die gemounted werden
  • kurz: beliebigen Wechseldatenträgern

*Microsoft hat das Problem mit dem Update support.microsoft.com/kb/971029 für USB-Datenträger behoben; Würmer, die es nutzen, sind aber nach wie vor unterwegs…

Ausführung von autorun.inf abschalten

Wie Jörg anmerkte, behebt das Update support.microsoft.com/kb/971029 diese Probleme für USB-Sticks auf XP, Vista, 7. Die folgenden manuellen Änderungen sind daher streng genommen nicht mehr notwendig. Allerdings können einige USB-Sticks einen Teil ihres Speichers als CD-Laufwerk darstellen, dann wirkt dieses Update nicht, ebenso wenig wirkt es bei CDs/DVDs.

Bei Windows 7 und Vista kann man die Datei autorun.inf als solches sperren und die Funktion auf USB-Sticks und auf CD/DVDs deaktivieren:

  • Starten Sie den Registrierungs-Editor mit [Windows R], Eingabe von regedit, [Enter]
  • Wechseln Sie zum Schlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping.
  • Erzeugen Sie mit Bearbeiten, Neu, Schlüssel einen neuen Schlüssel namens autorun.inf
  • Doppelklicken Sie im Schlüssel autorun.inf auf (Standard)
  • Geben Sie als Wert @SYS:DoesNotExist ein, [Enter]
  • Neustart.

Jetzt dürfte autorun.inf nirgendwo mehr gehen, auch nicht auf CDs/DVDs. (Um das wieder loszuwerden, löschen Sie einfach den Schlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\autorun.inf )

Auf Windows XP deaktivieren Sie es so:

  • Starten Sie den Registrierungs-Editor mit [Windows R], Eingabe von regedit, [Enter]
  • Wechseln Sie zum Schlüssel HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer.
  • Klicken Sie doppelt auf NoDriveTypeAutoRun, geben Sie in Feld Wert den Wert ff ein.
  • OK und Neustart.

Falls Sie zu einem späteren Zeitpunkt Autorun auf XP wieder aktivieren wollen, geben Sie den hexadezimalen Wert 91 ein. Das ist die Vorgabe auf den meisten Systemen, die ich gesehen habe (ganz früher war der, glaub ich, per Vorgabe 95).

Weiterführende Infos zu autorun.inf:

 

USB-Sticks gegen autorun.inf schützen

Es gibt verschiedene Möglichkeiten, zu verhindern, dass ein Wurm eine autorun.inf auf einem Wechseldatenträger schreibt. Dabei läuft es immer auf dasselbe heraus, nämlich, eine eigene Datei mit dem selben Namen zu erzeugen und mit einem Trick dafür zu sorgen, dass Windows sie nicht auf einfache Weise (und somit auch kein Wurm) überschreiben kann.

Starten Sie den Windows Explorer mit [Windows E]. Halten Sie [Umschalt] ([Shift]) gedrückt, klicken Sie mit der rechten Maustaste auf das Icon den fraglichen Wechseldatenträgers und wählen Sie Eingabeaufforderung hier öffnen. Geben Sie ein (oder mad.zip):

cd\
md autorun.inf\nochein.dir\nocheins
cd.> autorun.inf\kein.file
copy autorun.inf autorun.inf\nochein.dir
attrib +r +s +h \autorun.inf /s /d

Das Ergebnis ist ein Verzeichnis mit dem Namen der Datei autorun.inf (und darin sicherheitshalber ein weiteres Verzeichnis und eine Datei), und weil Windows anders als Linux Dateien nicht von Verzeichnissen unterscheiden kann, kann es nun keine Datei mehr erzeugen, die autorun.inf heißt. Aber: Das kann jeder kluge Programmierer umgehen.

Einen Tick schwieriger wird es damit:

cd\
md “\\?\X:\autorun.inf\lpt1”
wobei X der Laufwerksbuchstabe des Sticks ist
attrib +r +s +h \autorun.inf /s /d

Weil lpt1 ein reservierter Name ist (siehe Microsoft), kann Windows über die Shell das Verzeichnis lpt1 im Verzeichnis autorun.inf nicht mehr löschen, daher kann es den Ordner autorun.inf nicht löschen und deswegen kann es auch keine neue autorun.inf anlegen.

Aber natürlich gibts irgendwelche Tools, die es können, oder “geheime” Befehle wie
rd /s “\\.\h:\autorun.inf\lpt1”
ergo kann es am Ende des Tages auch eine Malware, wenn sie will.

Aber: Weil es sich nicht lohnt, jene wenigen User zu berücksichtigen, die diesen Tipp verwenden, ist die Wahrscheinlichkeit groß, dass ein Wurm das nicht drauf hat.

Andreas Winterer

Andreas Winterer ist Journalist, Buchautor und Blogger und beschäftigt sich seit 1992 mit Sicherheitsthemen. Auf unsicherheitsblog.de will er digitale Aufklärung zu Sicherheitsthemen bieten – auf dem Niveau 'normaler Nutzer' und ohne falsche Paranoia. Auf der Nachbarseite passwortbibel.de geht's um Passwörter. Bitte kaufen Sie eines seiner Bücher.

Das könnte dich auch interessieren …